Questa soundbar può trasformarsi in una tastiera e prendere il controllo del PC

Una soundbar USB può diventare un punto di ingresso verso il PC: il caso Creative Sound Blaster Katana V2X mostra perché firmware non firmati, Bluetooth Low Energy (BLE) sempre attivo e comandi di manutenzione esposti senza autenticazione formano una combinazione rischiosa.

La ricerca pubblicata il 3 giugno 2026 parte da un lavoro di reverse engineering sul firmware della Katana V2X, una barra audio per PC e console con USB Audio, HDMI ARC, Bluetooth 5.0 e microfoni beamforming integrati. Il dato più rilevante ha a che vedere con la fiducia che il computer assegna alla periferica: se un dispositivo USB già collegato può modificare il proprio comportamento e presentarsi anche come tastiera, il confine tra accessorio multimediale e vettore di attacco diventa molto sottile. Per questo, al problema è stato assegnato l’appellativo Pwnd Blaster.

Il problema nasce dal protocollo CTP

Creative usa un protocollo proprietario, indicato dal ricercatore come CTP (suppone che sia acronimo per Creative Transport Protocol), al fine di gestire configurazione DSP, LED, sorgenti audio e aggiornamenti firmware. Su USB il dispositivo richiede un meccanismo challenge-response; la chiave però risulta statica e ricavabile dai binari dell’app Creative. Non è una protezione robusta, ma almeno impedisce l’invio immediato di comandi grezzi.

Il problema è che lo stesso canale utilizzato per inviare comandi al dispositivo è accessibile anche tramite Bluetooth. Il ricercatore ha identificato due caratteristiche GATT (Generic Attribute Profile, il meccanismo usato dal Bluetooth Low Energy per lo scambio dei dati): una con UUID 9e9daaec-3a10-4fe8-b69f-7397aff77886 per l’invio dei comandi e un’altra con UUID 9e9daaeb-3a10-4fe8-b69f-7397aff77886 per la ricezione delle risposte. In pratica, è sufficiente inviare il comando CTP che richiede la versione del firmware affinché il dispositivo risponda, senza che sia necessario effettuare il pairing o superare alcuna procedura di autenticazione.

Firmware aggiornabile via Bluetooth senza firma

L’analisi del pacchetto firmware evidenzia tre componenti principali: FBOOT, FMAIN e CHK2. FBOOT include anche una modalità di recovery attivabile con il pulsante SOURCE durante l’accensione; FMAIN contiene il firmware principale ed è circa 6,5 volte più grande. Entrambi mostrano riferimenti al sistema operativo FreeRTOS 8.2.3, in versione modificata.

Il controllo finale CHK2 usa SHA-256 sul contenitore del firmware, ma non si serve ad alcuna firma crittografica. Chi modifica il firmware può ricalcolare l’hash e far accettare l’immagine al dispositivo. Mancano quindi verifiche con chiavi private del produttore, boot sicuro o almeno un blocco esplicito dell’aggiornamento non autorizzato.

La conseguenza è che il ricercatore ha modificato la stringa di avvio WELCOME sostituendola con PATCHED, ha aggiornato il dispositivo e ha verificato la comparsa della nuova stringa sul display. Poi ha ripetuto il processo via Bluetooth: l’upload richiede circa 10 minuti, ma si conclude positivamente senza mai toccare la soundbar.

Come si concretizza l’attacco: la soundbar si trasforma in tastiera USB

Nell’articolo su come verificare la sicurezza di un dispositivo USB prima di collegarlo al PC abbiamo visto cosa si intende per USB HID (Human Interface Device). Con questa sigla si fa riferimento a tutti quei dispositivi che si presentano come device di input ovvero tastiere, mouse e così via.

La soundbar Katana V2X espone già funzionalità USB HID per controlli multimediali, come volume e play/pausa. Non è una tastiera completa, ovviamente, ma il firmware contiene già codice utile per inviare comandi HID al PC.

Modificando il descrittore HID, il ricercatore ha aggiunto una seconda voce per far riconoscere la periferica come tastiera. Poi ha riutilizzato una routine già presente nel firmware per inviare pressioni di tasti. La patch descritta è sorprendentemente piccola: 83 byte per il report USB, 102 byte di codice ARM/Thumb e 2 byte per ogni carattere da digitare.

Dopo circa 20 secondi dal boot, il firmware modificato era in grado di digitare echo pwned sul sistema collegato alla soundbar e premere Invio. Una prova innocua, certo; ma lo stesso meccanismo potrebbe aprire PowerShell, incollare un comando e avviare codice remoto.

L’attacco richiede prossimità Bluetooth, circa 15 metri secondo il ricercatore, e la presenza di una Katana V2X collegata via USB a un PC. Non è uno scenario universale, ma in ufficio, in laboratorio, in una sala riunioni o in una postazione gaming condivisa non sembra affatto fantascienza.

Il difetto più grave sta nella catena di fiducia: il PC considera affidabile un dispositivo già collegato; il dispositivo accetta firmware alterati; il canale Bluetooth permette di inviare comandi CTP senza pairing; l’utente non ha uno strumento subito disponibile per disattivare Bluetooth, che resta attivo anche in sleep mode.

Quali sono le possibili linee di difesa

Creative, secondo quanto riferito dal ricercatore, non ha rilasciato patch e avrebbe comunicato tramite SingCERT (Singapore Cyber Emergency Response Team) di non considerare il caso un rischio in fatto di cybersecurity. Tuttavia l’esperto osserva che una periferica messa nelle condizioni di ricevere firmware arbitrario via radio e poi digitare comandi sul computer host supera chiaramente il perimetro di qualsiasi normale configurazione audio.

Il ricercatore ha pubblicato una patch non ufficiale che blocca CTP-over-Bluetooth: la contropartita è prevedibile ossia l’app mobile Creative potrebbe smettere di funzionare.

Chi usa la soundbar in ambienti “delicati” dovrebbe valutare almeno tre misure: collegare il dispositivo solo quando serve, evitare postazioni incustodite in aree accessibili e applicare eventualmente la patch non ufficiale solo dopo averne compreso rischi e reversibilità.

Il produttore, dal canto suo, potrebbe mettere in campo alcune difese efficaci: firmware signing con verifica nel bootloader, autenticazione obbligatoria sui comandi BLE sensibili, permessi GATT che richiedano pairing cifrato per lettura e scrittura, disattivazione esplicita del Bluetooth.

Note finali

La vicenda Pwnd Blaster non riguarda solo Creative. Molti accessori sul mercato combinano USB, Bluetooth, firmware aggiornabile, app mobile e microcontrollori con RTOS: ogni funzione può estendere la superficie d’attacco. Il problema nasce quando le funzioni di manutenzione restano accessibili come se il prodotto fosse sempre in un ambiente fidato.

Una periferica apparentemente banale può diventare un ponte: da BLE a firmware, da firmware a USB, da USB a input sul sistema operativo. Non serve violare direttamente Windows, Linux o macOS; basta convincere un dispositivo già autorizzato a comportarsi in modo diverso.

La regola generale è che gli aggiornamenti firmware devono essere firmati, i canali wireless devono applicare autenticazione reale e i dispositivi USB multifunzione non dovrebbero poter cambiare identità senza effettuare una serie di controlli approfonditi. Quando queste condizioni mancano, anche una soundbar può trasformarsi in un dispositivo BadUSB, eventualmente sfruttabile da remoto.

L’immagine in apertura è tratta dal blog di Rasmus Moorats, autore della ricerca.